Win32/Adware.FearAds не исключение у нее тоже есть лицензионное соглашение, в котором все оговаривается. Другое дело, что его мало кто читает из пострадавших пользователей и только по факту возникшей проблемы они начинают думать, что же с этим делать. Мошенники зарабатывающие на Adware зачастую не гнушаются обращаться в антивирусные компании, чтобы те сняли детект. Мол мы белые и пушистые и в лицензионном соглашении черным по белому все написано, а «глупые» пользователи сами ставят, а потом жалуются, но что сними поделаешь…
Вы не находите то, что все желающие могут скачать этого троянца по выше приведенной ссылке (достаточно заменить 113.jad на 113.jar). А на момент публикации авторы вполне могли быть первыми задетектившими его, но правда вирус совсем простенький ;)
А вы занете мало людей без нее, вам повезло ;)
Конкретно этот троянец спросит подтверждения, но поверьте найдутся те люди, которые перейдут по ссылки и даже установят это приложение и еще будут недоумевать от того, что открытка не показалась на экране почему-то.
P.S.: Еще раз перечитал пост и заметил, что даже сами авторы говорят о том, что вирус простецкий «Само по себе приложение не блещет изобретательностью и представляет собой простейшего троянца ...».
ИМХО. Наверное у многих вызывает недоумение словосочетание мобильный антивирус, но иной раз общаешься с некоторыми индивидуумами и думаешь — вот им без него точно не обойтись, иначе всю зарплату на СМС просадят :). А, если без шуток, то многие крупные компании зарубежом включают требование в политики безопасности на установку такого продукта на все служебные мобильные телефоны. И честно говоря это вполне оправданный шаг, ведь цена лицензии снизит риски хищения служебной информации злоумышленниками или кражи денежных средств со счета. Наверное когда-то появление обычной антивирусной программы на компьютере пользователя вызывала такую же реакцию у окружающих, как сейчас моб. антивирус. Но в данный момент, когда компьютер есть в каждом или почти в каждом доме, это вполне оправданная трата денежных средств и системных ресурсов. А ведь мобильные телефоны тоже есть у многих и не всегда эти люди являются гиками или технологически продвинутыми пользователями.
Как правило найти концы очень сложно. Все ведет к сервис-провайдеру, который при некотором давлении со стороны правоохранительных органов закроет sms-гейт. Ну, а паспортные данные человека на которого он зарегистрирован как правило ведут совсем не туда (примерный сценарий для большинства случаев).
Ну собственно нет никаких гарантий, что он выполниться корректно этоже эксплойт :)
А вообще у меня тоже он через раз работал. Крашнулся верно ошибка именно в mshtml.dll
В конце приведена ссылка на эксплойт, который имеет на борту боевой payload и устанавливает в систему Trojan-Downloader. Лучше в таких публикациях приводить ссылки на эксплойты с безопасным payload, которые после успешного выполнения, например запускают безобидный калькулятор.
Stand alone на python: ahmed.obied.net/software/code/exploits/ie_aurora.py
Код эксплойта в составе Metasploit: www.metasploit.com/redmine/projects/framework/repository/revisions/8136/entry/modules/exploits/windows/browser/ie_aurora.rb
Кстати на видео в посте Eset (http://habrahabr.ru/company/eset/blog/81142/#habracut) приводится демонстрация работы именно питоновского эксплойта.
В статье говорится о смене масштаба угроз, но а как же Conficker/Downdup, уж куда масштабнее угроза. А развитие узконаправленных векторов атаки с целевой рассылкой заманчивых ссылок и применением client-side эксплойтов используются уже очень давно, взять хотя бы теже тесты на проникновение. В общем автор как-то путается по-моему в показаниях.
По теме этого поста лаборанты делали довольно интересный доклад «Twarfing: Malicious tweets» на VB2009 conference (http://www.virusbtn.com/pdf/conference_slides/2009/Raiu-Swimmer-VB2009.pdf). Что интересно доклад делался совместно с представителями компании Trend Micro. В докладе можно лицезреть примерную архитектуру этой системы и некоторые технические подробности.
Конкретно этот троянец спросит подтверждения, но поверьте найдутся те люди, которые перейдут по ссылки и даже установят это приложение и еще будут недоумевать от того, что открытка не показалась на экране почему-то.
P.S.: Еще раз перечитал пост и заметил, что даже сами авторы говорят о том, что вирус простецкий «Само по себе приложение не блещет изобретательностью и представляет собой простейшего троянца ...».
А вообще у меня тоже он через раз работал. Крашнулся верно ошибка именно в mshtml.dll
Stand alone на python: ahmed.obied.net/software/code/exploits/ie_aurora.py
Код эксплойта в составе Metasploit: www.metasploit.com/redmine/projects/framework/repository/revisions/8136/entry/modules/exploits/windows/browser/ie_aurora.rb
Кстати на видео в посте Eset (http://habrahabr.ru/company/eset/blog/81142/#habracut) приводится демонстрация работы именно питоновского эксплойта.
Stand alone на python: ahmed.obied.net/software/code/exploits/ie_aurora.py
Ну и собственно анализ боевого сплойта в песочнице Wepawet: wepawet.iseclab.org/view.php?hash=1aea206aa64ebeabb07237f1e2230d0f&type=js
Но правда DEP препятствует успешному выполнению heap spray атаки так, что бояться только пользователям Win2000 и IE6.